關于F5 BIG-IP設備存在TicketBleed漏洞的安全公告

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了F5 BIG-IP設備TLS/SSL堆棧溢出漏洞“又稱TicketBleed漏洞”（CNVD-2017-01171，CVE-2016-9244）。該漏洞原理類似于OpenSSL“心髒滴血”漏洞，遠程攻擊者利用該漏洞持續獲取服務器端的内存數據。由于BIG-IP設備多用于互聯網出入口流量管理和負載優化，有可能(néng)導緻用戶敏感信息（如：業務數據）洩露。不過(guò)根據當前測試結果，受影響範圍還(hái)較爲有限。

一、漏洞情況分析

F5 BIG-IP 鏈路控制器可以無縫地監控多條 WAN ISP 連接的可用性與性能(néng)，主要用于互聯網出入口流量管理和負載優化。Session Tickets是加速重複連接的一項恢複技術。

BIG-IP虛拟服務器配置客戶端SSL配置文件啓用了非默認Session Tickets選項,當客戶端提供SessionID和Session Tickets時， Session ID的長(cháng)度可以在1到31個字節之間，而F5堆棧總是回顯32字節的内存。攻擊者利用該漏洞提供1字節Session ID可收到31字節的未初始化内存信息，從而獲取其他會話安全套接字層(SSL)SessionID。該漏洞原理類似于OpenSSL“心髒滴血”漏洞，但通過(guò)漏洞一次隻能(néng)獲取31個字節數據，而不是64k，需要多次輪詢執行攻擊，并且僅影響專有的F5 TLS堆棧。

CNVD對(duì)該漏洞的綜合評級爲“高危”。目前，相關利用方式已經(jīng)在互聯網上公開(kāi)，近期出現大量攻擊嘗試的可能(néng)。

二、漏洞影響範圍

受此漏洞影響的設備類型和版本，以及受該漏洞影響的組件和功能(néng)的詳細信息請參閱下表。根據CNVD秘書處普查情況，相關F5 BIG-IP設備共有70028台暴露在互聯網上，而在中國(guó)境内有2213台BIG-IP設備（占全球比例3.16%），但測試未發(fā)現受到漏洞實際影響。根據漏洞研究者的抽查比例，互聯網上443端口受該漏洞影響的443端口TLS服務比例約爲0.2%。

三、漏洞修複建議

受影響的産品在本次公開(kāi)披露時并非所有版本都(dōu)可以通過(guò)升級解決。F5官方提供的臨時解決方案如下：

1. 登錄到配置實用程序

2. 在菜單上導航到本地流量>配置文件> SSL>客戶端

3. 將(jiāng)配置的選項從基本切換到高級

4. 取消選中Session Ticket選項以禁用該功能(néng)

5. 單擊更新以保存更改